Peter Steinberger, pencipta asisten AI sumber terbuka OpenClaw, memberikan peringatan publik pada 19 Maret. Ia mengimbau pengguna untuk menganggap sebagai penipuan setiap surat yang terkait dengan kripto yang konon berkaitan dengan proyek tersebut.
Menurutnya, OpenClaw tetap menjadi proyek sumber terbuka dan model non-komersial. Dalam postingan di X, ia menekankan bahwa hanya situs resmi yang dapat dipercaya dan harus berhati-hati terhadap layanan pihak ketiga yang mencoba memonetisasi produk.
Kasus ini menjadi episode lain dalam konflik berkepanjangan Steinberger dengan penggemar kripto dan penipu. Sejak proyek ini menjadi viral pada bulan Januari, ia secara teratur dicoba untuk digunakan, disalin, dan diklaim sebagai produk resmi.
Airdrop palsu menyerang pengembang di seluruh dunia
Peringatan muncul di tengah keluhan dari pengembang yang mulai menerima email dengan airdrop token CLAW yang palsu. Dalam pesan-pesan ini dijanjikan sekitar $5 ribu dalam token dan diminta untuk mendaftar dompet melalui tautan mencurigakan di Google.
Email-email tersebut tampak meyakinkan. Mereka datang seolah-olah dari GitHub dan menyamar sebagai notifikasi sistem, sehingga mudah menyesatkan.
Tangkapan layar yang dipublikasikan di X menunjukkan bahwa ini bukan kasus tunggal. Kampanye ini tampak masif dan terorganisir dengan baik. Pesan-pesan hampir sama dan ditujukan kepada kontributor GitHub. Mereka menyebutkan apa yang disebut sebagai OpenClaw GitHub Contributors Airdrop, dengan pengirim berupa akun seperti ClawFunding dan ClawReward.
Di dalam email terdapat daftar 'peserta terpilih' untuk menciptakan kesan bahwa penerima termasuk dalam kelompok terpilih. Beberapa versi sudah diterjemahkan ke dalam bahasa Spanyol, yang menunjukkan bahwa serangan ini menjangkau beberapa wilayah sekaligus.
Peneliti keamanan Aoke Quant berspekulasi bahwa penipu mungkin mengumpulkan data pengembang secara langsung dari GitHub dan menggunakannya untuk pengiriman massal.
Pengembang Daniel Sanchez menjelaskan situasi ini dengan sangat sederhana. Jika seseorang menawarkan uang gratis tanpa permintaan, itu hampir selalu penipuan. Ia juga mencatat bahwa proyek sumber terbuka tidak memiliki alasan untuk mengadakan distribusi kripto.
Bulan-bulan tekanan dan rebranding yang gagal
Gelombang phishing terbaru ini bukan kasus terpisah, melainkan kelanjutan dari cerita yang telah berlangsung selama beberapa bulan. Sejak OpenClaw menjadi viral dengan nama Clawdbot pada akhir Januari, proyek ini secara teratur diserang oleh penipu kripto.
Pada suatu waktu, muncul meme coin tidak resmi di jaringan Solana. Ia anjlok 96% hanya dalam satu hari.
Situasi dengan cepat keluar dari kendali. Steinberger terpaksa melarang sepenuhnya diskusi tentang kripto di Discord proyek. Di X, situasinya juga keluar dari kendali. Feed notifikasi praktis tidak lagi layak karena spam terus-menerus dengan token dan pesan.
Kemudian muncul masalah lain. Anthropic meminta untuk mengganti nama bot karena masalah merek dagang. Proyek ini diubah namanya dari Clawdbot menjadi Moltbot.
Namun, penipu segera memanfaatkan ini. Tepat beberapa detik setelah perubahan nama, mereka mengambil alih akun lama dan mulai mempromosikan token baru melalui akun tersebut. Melalui profil yang diretas, malware menyebar hingga tim berhasil memblokir semuanya.
Akun di GitHub juga dicuri hampir seketika. Ia digunakan untuk menyebarkan kode berbahaya.
Steinberger sendiri menyebut kejadian ini sebagai bentuk pelanggaran online terburuk yang pernah ia hadapi.
Peralihan ke OpenAI tidak menghentikan penipu
Pada Februari 2026, OpenAI mengundang Steinberger untuk memimpin arah agen AI pribadi di bawah bimbingan Sam Altman. Ia setuju, mencatat bahwa ini adalah cara tercepat untuk menskalakan idenya.
OpenClaw tetap menjadi proyek sumber terbuka, tetapi kini mendapatkan dukungan melalui infrastruktur dan sumber daya OpenAI. Namun, peralihan di bawah payung perusahaan teknologi besar tidak menghentikan penipu, yang terus menggunakan nama proyek tersebut.
Sebelumnya, para ahli SlowMist telah memperingatkan tentang masalah keamanan. Beberapa versi Clawdbot mengungkapkan kunci API dan konten obrolan pribadi.
Peneliti Jameson O’Reilly juga menemukan bahwa dalam beberapa kasus, akses ke data semacam itu sama sekali tidak dilindungi. Ratusan kredensial muncul di akses terbuka.
Kerentanan semacam itu dapat memberikan penipu cukup informasi untuk mengumpulkan email phishing yang meyakinkan.
Posisi Steinberger tetap tidak berubah. Tidak akan ada token, dan setiap pernyataan sebaliknya adalah penipuan.
#OPENCLAW #security #AI #Write2Earn #BinanceSquareTalks
